TOMs im Grundschutz
Diese Seite ist derzeit noch ein Entwurf. Weitere Informationen sowie Diskussionen über Änderungen an diesem Entwurf gibt es evtl. auf der Diskussion-Seite. |
Im Rahmen des Datenschutzes ist die wirksame Umsetzung von technischen und organisatorischen Maßnahmen (TOM) von entscheidender Bedeutung. Der IT-Grundschutz bietet hierfür eine fundierte Grundlage. In diesem Artikel wird erläutert, wie die Anforderungen des IT-Grundschutzes den TOMs zugeordnet werden können. Dies hilft nicht nur bei der Erfüllung gesetzlicher Vorgaben, sondern auch bei der systematischen Absicherung von IT-Systemen und Prozessen.
Dir folgende Tabelle stellt eine Zuordnung der Anforderungen der Technischen und Organisatorischen Maßnahmen (TOMs) zu den entsprechenden Anforderungen aus dem BSI IT-Grundschutz Kompendium (Edition 2023) dar:
TOM | Passende Grundschutz-Anforderungen |
---|---|
Datenverschlüsselung | APP.1.1.A15: Einsatz von Verschlüsselung und Digitalen Signaturen APP.5.4.A6: Verschlüsselung von UCC-Daten CON.7.A10: Verschlüsselung tragbarer IT-Systeme und Datenträger CON.7.A13: Mitnahme notwendiger Daten und Datenträger NET.4.2.A8: Verschlüsselung von VoIP OPS.2.2.A17: Einsatz von Verschlüsselung bei Cloud-Nutzung SYS.1.2.3.A4: Schutz vor Ausnutzung von Schwachstellen in Anwendungen SYS.3.1.A13: Verschlüsselung von Laptops SYS.3.2.1.A11: Verschlüsselung des Speichers SYS.4.5.A12: Schutz vor Schadsoftware |
Eingabekontrolle | CON.7.A13: Mitnahme notwendiger Daten und Datenträger CON.11.1.A13: Löschung elektronischer VS, Vernichtung von Datenträgern und IT-Produkten nach §§ 32, 56 und Nr. 8 Anlage V zur VSA DER.2.1.A3: Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorfällen DER.2.2.A9: Vorauswahl forensisch relevanter Daten INF.9.A2: Regelungen für mobile Arbeitsplätze NET.2.1.A1: Festlegung einer Strategie für den Einsatz von WLANs OPS.1.1.2.A5: Nachweisbarkeit von administrativen Tätigkeiten OPS.1.1.2.A11: Dokumentation von IT-Administrationstätigkeiten SYS.1.1.A21: Betriebsdokumentation für Server SYS.2.1.A40: Betriebsdokumentation |
Protokollierung | APP.1.4.A15: Durchführung von Penetrationstests für Apps APP.2.1.A19: Umgang mit anonymen Zugriffen auf Verzeichnisdienste APP.5.4.A4: Deaktivierung nicht benötigter Funktionen und Dienste APP.5.4.A13: Sichere Administration von SIP-Trunks CON.6.A1: Regelung für die Löschung und Vernichtung von Informationen CON.7.A13: Mitnahme notwendiger Daten und Datenträger CON.10.A12: Verifikation essenzieller Änderungen NET.3.2.A14: Betriebsdokumentationen OPS.1.1.3.A1: Konzept für das Patch- und Änderungsmanagement OPS.1.1.7.A26: Entkopplung von Zugriffen auf die Systemmanagement-Lösung |
Pseudonymisierung | APP.1.1.A17: Sensibilisierung zu spezifischen Office-Eigenschaften APP.6.A10: Erstellung einer Sicherheitsrichtlinie zur Pseudonymisierung DER.3.1.A4: Regelung zur Verwendung von Pseudonymisierungsverfahren INF.2.A11: Einführung von Pseudonymisierungstechniken bei der Erfassung von Daten OPS.1.1.5.A1: Etablierung einer Richtlinie zur Pseudonymisierung von Daten CON.10.A18: Kryptografische Absicherung vertraulicher Daten CON.11.1.A5: Regelung zum Einsatz von Pseudonymisierungsverfahren nach §§ 32, 56 VSA OPS.2.3.A10: Einführung von Pseudonymisierungsmaßnahmen für personenbezogene Daten CON.7.A13: Mitnahme notwendiger Daten und Datenträger CON.11.1.A14: Pseudonymisierung bei der Verarbeitung von Daten nach §§ 32, 56 VSA |
Transportkontrolle | CON.7.A13: Mitnahme notwendiger Daten und Datenträger OPS.1.2.2.A21: Schutz der Integrität bei der Übertragung von Daten SYS.1.2.3.A4: Schutz vor Ausnutzung von Schwachstellen in Anwendungen SYS.4.5.A12: Schutz vor Schadsoftware SYS.2.2.3.A5: Schutz der Integrität bei der Übertragung von Daten OPS.1.1.4.A1: Sicherstellung der Integrität von Daten während der Übertragung CON.10.A7: Schutz vertraulicher Daten OPS.1.2.2.A4: Schutz der Integrität bei der Übertragung von Daten OPS.3.2.A20: Verschlüsselung von Daten während der Übertragung APP.5.4.A10: Schutz der Integrität von UCC-Daten während der Übertragung |
Verfügbarkeitskontrolle | OPS.1.1.3.A10: Sicherstellung der Verfügbarkeit kritischer Systeme SYS.3.1.A11: Maßnahmen zur Sicherstellung der Verfügbarkeit von IT-Systemen SYS.3.3.A9: Implementierung von Hochverfügbarkeitslösungen INF.2.A7: Maßnahmen zur Sicherstellung der Verfügbarkeit von Daten OPS.2.2.A15: Schutz vor Verlust der Verfügbarkeit bei Systemausfällen APP.4.3.A23: Sicherstellung der Verfügbarkeit von Anwendungsdaten DER.2.2.A4: Maßnahmen zur Sicherstellung der Datenverfügbarkeit in Notfällen ORP.1.A15: Implementierung von Verfügbarkeitskonzepten CON.7.A13: Mitnahme notwendiger Daten und Datenträger SYS.2.1.A27: Implementierung von Maßnahmen zur Sicherstellung der Verfügbarkeit von IT-Systemen |
Wiederherstellbarkeit | INF.5.A12: Einführung von Maßnahmen zur Datenwiederherstellung DER.2.1.A6: Implementierung von Datenwiederherstellungsprozessen SYS.4.5.A2: Einführung von Wiederherstellungsverfahren bei Systemausfällen SYS.3.3.A2: Implementierung von Backup-Strategien zur Datenwiederherstellung APP.1.1.A16: Maßnahmen zur Wiederherstellung von Anwendungsdaten CON.6.A4: Einführung von Datenwiederherstellungsverfahren SYS.4.5.A10: Einführung von Datenwiederherstellungsverfahren nach Malware-Angriffen CON.3.A13: Einführung von Datenwiederherstellungsverfahren nach IT-Sicherheitsvorfällen CON.1.A1: Einführung von Maßnahmen zur Wiederherstellung der Verfügbarkeit von Daten SYS.3.2.1.A18: Einführung von Maßnahmen zur Wiederherstellung von IT-Systemen |
Zugangskontrolle | CON.3.A14: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme OPS.1.2.4.A2: Einführung von Maßnahmen zur Zugangskontrolle in IT-Räumen INF.9.A4: Implementierung von Zugangskontrollmechanismen CON.11.1.A5: Einführung von Zugangskontrollverfahren CON.7.A7: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme NET.4.1.A18: Implementierung von Zugangskontrollmechanismen für Netzwerke OPS.1.2.5.A14: Einführung von Maßnahmen zur Zugangskontrolle für IT-Räume OPS.1.1.2.A16: Einführung von Maßnahmen zur Zugangskontrolle für IT-Systeme CON.11.1.A14: Implementierung von Zugangskontrollmechanismen für Netzwerke OPS.1.1.2.A27: Einführung von Maßnahmen zur Zugangskontrolle für IT-Räume |
Zugriffskontrolle | APP.2.1.A11: Einführung von Maßnahmen zur Zugriffskontrolle für Anwendungen ORP.4.A16: Implementierung von Zugriffskontrollmechanismen OPS.1.1.7.A6: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme SYS.4.1.A7: Einführung von Maßnahmen zur Zugriffskontrolle für Netzwerke OPS.1.1.7.A17: Implementierung von Zugriffskontrollmechanismen CON.7.A13: Mitnahme notwendiger Daten und Datenträger SYS.3.2.2.A17: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme INF.1.A7: Implementierung von Zugriffskontrollmechanismen INF.5.A3: Einführung von Maßnahmen zur Zugriffskontrolle für Daten ORP.4.A14: Einführung von Maßnahmen zur Zugriffskontrolle für IT-Systeme |
Zutrittskontrolle | INF.1.A13: Implementierung von Maßnahmen zur Zutrittskontrolle ISMS.1.A7: Einführung von Zutrittskontrollmechanismen NET.1.1.A31: Implementierung von Maßnahmen zur Zutrittskontrolle für IT-Räume OPS.1.1.7.A21: Einführung von Zutrittskontrollmechanismen INF.6.A2: Implementierung von Maßnahmen zur Zutrittskontrolle NET.1.1.A32: Einführung von Zutrittskontrollmechanismen für IT-Räume CON.1.A16: Implementierung von Maßnahmen zur Zutrittskontrolle für IT-Räume SYS.1.1.A1: Einführung von Zutrittskontrollmechanismen für IT-Systeme OPS.1.1.2.A16: Einführung von Maßnahmen zur Zutrittskontrolle für IT-Räume INF.2.A6: Implementierung von Zutrittskontrollmechanismen für IT-Systeme |
Auftragskontrolle | CON.11.1.A1: Einhaltung der Grundsätze zur VS-Verarbeitung mit IT nach § 3, 4 und 6 und Nr. 1 Anlage V zur VSA CON.7.A13: Mitnahme notwendiger Daten und Datenträger APP.5.4.A4: Deaktivierung nicht benötigter Funktionen und Dienste CON.11.1.A3: Einsatz von IT-Sicherheitsprodukten nach §§ 51, 52 VSA CON.10.A7: Schutz vertraulicher Daten SYS.2.1.A8: Absicherung des Bootvorgangs SYS.2.1.A27: Geregelte Außerbetriebnahme eines Clients SYS.2.4.A8: Keine Nutzung von iCloud für schützenswerte Daten INF.6.A8: Sichere Türen und Fenster CON.10.A18: Kryptografische Absicherung vertraulicher Daten |
Datenschutz-Folgenabschätzung | CON.11.1.A1: Einhaltung der Grundsätze zur VS-Verarbeitung mit IT nach § 3, 4 und 6 und Nr. 1 Anlage V zur VSA DER.4.A15: Durchführung einer Datenschutz-Folgenabschätzung für neue Technologien DER.3.1.A8: Erstellung eines Konzepts zur Risikobewertung von neuen Technologien APP.6.A7: Regelmäßige Überprüfung und Anpassung der Datenschutz-Maßnahmen OPS.2.3.A19: Durchführung von Datenschutz-Folgenabschätzungen bei Änderungen in der IT-Infrastruktur OPS.1.1.4.A10: Sicherstellung der Einhaltung von Datenschutzbestimmungen bei Outsourcing OPS.2.2.A1: Regelung der Verarbeitung von personenbezogenen Daten durch externe Dienstleister DER.3.1.A6: Etablierung eines Prozesses zur kontinuierlichen Bewertung von Datenschutzrisiken OPS.3.2.A8: Durchführung von Audits zur Überprüfung der Datenschutz-Maßnahmen DER.3.1.A4: Implementierung von Maßnahmen zur Risikominimierung bei der Verarbeitung von personenbezogenen Daten |
Schulung und Sensibilisierung | ORP.3.A6: Regelmäßige Schulungen der Mitarbeitenden zu Datenschutzthemen CON.3.A5: Sensibilisierung der Mitarbeitenden für den Umgang mit personenbezogenen Daten DER.1.A7: Durchführung von Schulungen zu Datenschutzbestimmungen für Führungskräfte CON.8.A18: Erstellung von Sensibilisierungsmaterialien für Mitarbeitende ORP.2.A14: Regelmäßige Überprüfung und Aktualisierung der Schulungsinhalte INF.1.A36: Etablierung eines kontinuierlichen Schulungsprogramms für Datenschutz OPS.1.2.4.A8: Sensibilisierung der Mitarbeitenden für den sicheren Umgang mit IT-Systemen ISMS.1.A8: Durchführung von Schulungen zu IT-Sicherheitsrichtlinien OPS.1.2.2.A7: Erstellung von Schulungsmaterialien zu Datenschutzbestimmungen OPS.1.2.4.A5: Durchführung von Sensibilisierungskampagnen für den sicheren Umgang mit Daten |
Trennungsgebot | SYS.3.3.A9: Implementierung von Maßnahmen zur Trennung von Datenbeständen SYS.4.5.A12: Schutz vor Schadsoftware SYS.3.1.A11: Sicherstellung der Trennung von Entwicklungs- und Produktionsumgebungen OPS.2.2.A15: Sicherstellung der Trennung von Daten in Cloud-Diensten OPS.1.1.3.A10: Sicherstellung der Trennung von Daten in IT-Systemen OPS.1.2.2.A5: Trennung von Daten in Archivsystemen CON.10.A7: Schutz vertraulicher Daten durch Trennung von Zugriffsberechtigungen CON.7.A13: Mitnahme notwendiger Daten und Datenträger INF.10.A6: Sicherstellung der Trennung von Daten durch physische Sicherheitsmaßnahmen SYS.2.1.A27: Trennung von Datenbeständen bei der Außerbetriebnahme von IT-Systemen |
Zweckbindung | SYS.4.5.A12: Schutz vor Schadsoftware OPS.1.2.4.A2: Sicherheitstechnische Anforderungen an den Telearbeitsrechner SYS.3.3.A9: Implementierung von Maßnahmen zur Sicherstellung der Zweckbindung von Daten SYS.3.1.A11: Sicherstellung der Zweckbindung von Daten bei der Verarbeitung in IT-Systemen OPS.1.1.3.A10: Sicherstellung der Zweckbindung von Daten in IT-Systemen OPS.2.2.A15: Sicherstellung der Zweckbindung von Daten in Cloud-Diensten CON.10.A7: Schutz vertraulicher Daten durch Sicherstellung der Zweckbindung CON.7.A13: Mitnahme notwendiger Daten und Datenträger OPS.1.2.2.A5: Sicherstellung der Zweckbindung bei der Verarbeitung von Daten in Archivsystemen SYS.2.4.A8: Keine Nutzung von iCloud für schützenswerte Daten |
Vorfallmanagement | DER.2.1.A2: Erstellung einer Richtlinie zur Behandlung von Sicherheitsvorfällen DER.2.1.A3: Festlegung von Verantwortlichkeiten und Ansprechpersonen bei Sicherheitsvorfällen DER.2.1.A7: Etablierung einer Vorgehensweise zur Behandlung von Sicherheitsvorfällen DER.2.1.A18: Weiterentwicklung der Prozesse durch Erkenntnisse aus Sicherheitsvorfällen und Branchenentwicklungen DER.2.1.A19: Festlegung von Prioritäten für die Behandlung von Sicherheitsvorfällen DER.2.1.A22: Überprüfung der Effizienz des Managementsystems zur Behandlung von Sicherheitsvorfällen DER.4.A9: Integration von Notfallmanagement in organisationsweite Abläufe und Prozesse OPS.1.1.4.A9: Meldung von Infektionen mit Schadprogrammen OPS.2.3.A20: Etablierung sowie Einbeziehung von Anbietenden von Outsourcing im Notfallkonzept OPS.3.2.A14: Überwachung der Prozesse, Anwendungen und IT-Systeme |
Weitergabekontrolle | APP.2.1.A2: Planung des Einsatzes von Verzeichnisdiensten CON.3.A13: Einsatz kryptografischer Verfahren bei der Datensicherung CON.9.A5: Beseitigung von Restinformationen vor Weitergabe CON.10.A7: Schutz vertraulicher Daten OPS.1.1.3.A10: Sicherstellung der Integrität und Authentizität von Softwarepaketen OPS.2.2.A15: Sicherstellung der Portabilität von Cloud-Diensten SYS.2.1.A27: Geregelte Außerbetriebnahme eines Clients SYS.3.1.A7: Geregelte Übergabe und Rücknahme eines Laptops SYS.3.1.A11: Sicherstellung der Energieversorgung von Laptops SYS.3.3.A9: Sicherstellung der Energieversorgung von Mobiltelefonen |